新W3C标准中 AJAX 跨域实现以及隐患

最新推荐文章于 2025-06-06 09:52:38 发布
最新推荐文章于 2025-06-06 09:52:38 发布
阅读量752 收藏
点赞数
分类专栏: Eclipse javascript 文章标签: ajax c header xmlhttprequest firefox 服务器
介绍了W3C规范中的跨域资源共享(CORS)机制,包括关键HTTP头部字段及其作用,如Access-Control-Allow-Origin。文章详细解释了跨域请求的工作流程,并提供了示例代码。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

http://www.w3.org/TR/cors/

cross-origin resource sharing

http://www.w3.org/TR/cors/#access-control-allow-origin-response-header

http://enable-cors.org/

新W3C标准中 AJAX 跨域实现以及隐患

http://www.haogongju.net/art/806671

http://www.haogongju.net/art/806671

标准也很无奈,标准很难做到 Secure By Default

最新的W3C标准里是这么实现HTTP跨域请求的,

Cross-Origin Resource Sharing简单来说,就是跨域的目标服务器要返回一系列的Headers,通过这些Headers来控制是否同意跨域。

这些Headers有:

  • 4 Syntax
    • 4.1 Access-Control-Allow-Origin HTTP Response Header 4.2 Access-Control-Max-Age HTTP Response Header 4.3 Access-Control-Allow-Credentials HTTP Response Header 4.4 Access-Control-Allow-Methods HTTP Response Header 4.5 Access-Control-Allow-Headers HTTP Response Header 4.6 Origin HTTP Request Header 4.7 Access-Control-Request-Method HTTP Request Header 4.8 Access-Control-Request-Headers HTTP Request Header
      在 Request 包和 Response 包中都有一些。

      其中最敏感的就是 Access-Control-Allow-Origin 这个 Header, 他是W3C标准里用来检查该跨域请求是否可以被通过。 (Access Control Check)

      跨域实现的过程大致如下:

      从 http:// www.a.com/test.html 发起一个跨域请求,

      请求的地址为: http:// www.b.com/test.php

      如果 服务器B返回一个如下的header

      Access-Control-Allow-Origin: http://www.a.com

      那么,这个来自 http://www.a.com/test.html 的跨域请求就会被通过。

      在这个过程中, request 还会带上这个header:

      Origin: http://www.a.com

      不过这里比较要命的是 Access-Control-Allow-Origin 的值可以是通配符 *

      如果是 * 的话,就可以接收来自任意source origin的请求。

      我已经可以想象到以后这个特性被程序员滥用以及被用来制作后门的可怕后果了!


      在 Firefox 3.1 Beta 2 上抓包如下:

      GET http://www.b.com/test.php HTTP/1.1
      Host: www.b.com
      User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1b2) Gecko/20081201 Firefox/3.1b2 Paros/3.2.13
      Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
      Accept-Language: zh-cn,zh;q=0.5
      Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7
      Keep-Alive: 300
      Proxy-Connection: keep-alive
      Referer: http://www.a.com/test.html
      Origin: http://www.a.com
      Cache-Control: max-age=0


      HTTP/1.1 200 OK
      Date: Thu, 15 Jan 2009 06:28:54 GMT
      Server: Apache/2.0.63 (Win32) PHP/5.2.6
      X-Powered-By: PHP/5.2.6
      Access-Control-Allow-Origin: *
      Content-Length: 28
      Content-Type: text/html

      Cross Domain Request Test!


      两段代码大致如下:
      www.a.com/test.html:
      <script>
      var client = new XMLHttpRequest();
      client.open(“GET”, “http://www.b.com/test.php”);
      client.onreadystatechange = function() { }
      client.send(null);
      </script>

      www.b.com/test.php:
      <?php

      header(“Access-Control-Allow-Origin: *”);

      ?>

      Cross Domain Request Test!


      除了这个Header外,还可以通过一些其他的Header 来控制比如 Method, 时间等,可以参考标准,不在此赘述。

      出于安全考虑,跨域请求不能访问document.cookie 对象

      对于IE8 Beta 2, 则是通过 XDomainRequest 来实现的这个跨域请求

      比如类似如下代码就可以实现了:

      var request = new XDomainRequest();
      request.open(“GET”, xdomainurl);
      request.send();

      也要求对方服务器返回这个头才行。


      IE的开发者今天公布了一段小视频:
      http://ieblog.members.winisp.net/images/XdomainRequest-small.wmv


      目前,支持这种跨域实现的要求

      Firefox 3.1 Beta2

      IE 8 Beta2

      等到普及还有一段时间。


      最后再加一个Firefox3.1实现跨域的说明文档:
      https://developer.mozilla.org/En/HTTP_access_control

SpringMVC中的请求配置解决方案
AI天才研究院
08-05 1860
(Cross-origin resource sharing)是由一个资源从一个名访问另一个不同的名而发生的一种行为。由于同源策略的限制,默认情况下浏览器禁止从不同向当前发送HTTP请求。请求会受到各个浏览器厂商自己的处理方式不同,但浏览器为了保护用户信息不被盗用或篡改,一般都会阻止请求,所以开发者需要在实际项目中做一些额外的设置来允许请求。以下就详细介绍一下Spring MVC对请求的支持及其配置方法。
Access-Control-Allow-Origin
08-27
谷歌浏览器扩展程序一键解决本地开发问题,让你不用乱mock数据,Access-Control-Allow-Origin工具包
Access-Control-Allow-Origin: Dealing with CORS Errors in Angular
weixin_34161064的博客
01-08 355
https://daveceddia.com/access-control-allow-origin-cors-errors-in-angular/ Getting this error in your Angular app? No ‘Access-Control-Allow-Origin’ header is present on the requested resource. ...
Access-Control-Allow-Origin'
baicp3的专栏
05-31 1857
1.本人只想把自己遇到的问题描述一下,但凡自己遇到的问题还是需要细看的具体描述。 2.未涉及nginx转发的时候 需要在后端添加: HttpServletResponse response response.setHeader("Access-Control-Allow-Origin", "*"); 当然依据是springmvc项目还是springboot项目。其实配置不用那么麻...
IIS Access-Control-Allow-Origin
ddsthinkyou123的专栏
11-27 1182
参考 https://www.cnblogs.com/Abert33/p/8994403.html 打开IIS服务器   添加  如下内容 1、名称:Access-Control-Allow-Headers  值:Content-Type, api_key, Authorization 2、名称:Access-Control-Allow-Origin      值:* 二:出现XX...
Ajax 如何实现
10-22
关于Ajax实现的知识点,首先需要明白什么是Ajax问题。在Web开发中,出于安全考虑,浏览器会限制网页只能与自己的进行通信,这就是同源策略。当尝试从一个的脚本中向另一个发起Ajax请求时,就会遇到...
浅谈AjaxSession和访问
10-25
总结一下,Ajax请求和Session处理都是Web开发中较为复杂的问题,开发者需要理解浏览器同源策略、JSONP和CORS的工作原理,以及Session的存储和管理机制。在实际开发中,建议使用CORS来实现更安全、功能更全面...
AJAX访问被禁止的原因
11-20 1万+
为什么AJAX访问不能呢?要讲清楚这个问题,首先要谈谈Cookie   1.客户向A网站的服务器发送登录请求,并携带账号密码数据 2.A网站的服务器校验账号密码正确后,返回响应并给本地添加了Cookie 3.之后客户再次向A网站发起请求会自动带上A网站存储在本地的cookie 4.A网站的服务器从cookie中获取账号密码数据后,返回登陆成功界面。 下图为cookie的工作机制...
asp.net(C#)写Cookie问题
10-28
在***里,如果要通过ajax调用***中的内容,需要采用JSONP(JSON with Padding)技术来实现。JSONP是一种数据交互的方式,通过动态创建script标签,服务器端返回的数据被当作js脚本来执行。在jQuery的ajax...
Access-Control-Allow-Origin 0.1.5_0
01-14
Access-Control-Allow-Origin 0.1.5_0,使用教程地址:
Access-Control-Allow-Origin(CROS)
拔刀怒向猪头的专栏
09-29 5417
response.setHeader("Access-Control-Allow-Origin", "http://128.208.229.188:1000/*"); 表明当前页面可以访问。默认是不允许的。                   Access-Control-Allow-Origin。HTTP响应头,指定服务器端允许进行资源访问的来源。可以用通配符*表示允许任何的J
解决办法:利用 Access-Control-Allow-Origin
热门推荐
CaseyWei
04-19 4万+
传统的请求没有好的解决方案,无非就是jsonp和iframe,随着请求的应用越来越多,W3C提供了请求的标准方案(Cross-Origin Resource Sharing)。IE8、Firefox 3.5 及其以后的版本、Chrome浏览器、Safari 4 等已经实现了 Cross-Origin Resource Sharing 规范,实现请求。 在服务器响应客户...
问题:Access-Control-Allow-Origin
wengjianying的博客
12-06 627
不在一个服务器里的项目,相互请求资源会出现问题 测试同一个服务器里的不同项目是可以的,不在一个服务器不可以 测试可以用一个本地的html(非服务器上的)直接去请求服务器的资源 会出现之类的问题 1. 在php框架入口文件的index.php中添加header("Access-Control-Allow-Origin:*") 即可,具体允许可以将*,改了 2. 如果访问既不出现Ac
Access-Control-Allow-Origin 【
weixin_42520375的博客
01-17 681
目前环境是这样的:前端网页端口为http://localhost:8080/,后端端口为http://localhost:3000,这样前端访问后端必出现问题,如下: 非同源 那么该怎么做呢?只需让服务器告诉浏览器从你这个名来的也可以访问即可,如下: 服务器接收到请求头,查看一下请求头中的origin是不是我要请求的http://localhost:8080,如果是那么返回头中的Acces...
JAVA springboot Access-Control-Allow-Origin
最新发布
chengmin123456789的博客
06-06 355
也就是说,只有当你的请求是通过浏览器发起的(比如前端 JavaScript 使用 fetch 或 XMLHttpRequest),这个头才会起作用。只有来自https:/your-domain.com的前端页面(即请求的来源 Origin 是这个名),才能通过浏览器发起请求访问这个接口。https://epos.whbswdt.com/xxx  也被允许(路径不影响)https://www.epos.whbswdt.com  子名不同,也不被允许。区分大小写 & 完全匹配。
前端问题:Access-Control-Allow-Origin
TOMA1B2C3的博客
03-06 2029
1.背景 最近在研究vue+springboot的前后端分离项目,遇到一个问题,从vue发送的请求后台能接收到并且返回,但是返回的消息前端接收不到,打开控制台看到报错信息:“......has been blocked by CORS policy: No 'Access-Control-Allow-Origin' header is......”,网上一查牵扯到问题(CORS...
漏洞Response header配置 Access-Control-Allow-Origin
liao0801_123的博客
12-09 2万+
浏览器只允许请求当前的资源,而对其他的资源表示不信任。那怎么才算呢? 请求协议http,https的不同 domain的不同 端口port的不同 好好好,大概就是这么回事啦,下面我们讲2种中规中矩的办法:CORS,JSONP document.domain,window.name,web sockets就先别闹了,腰不好 : ) 2、CORS 这是W3C标准,全称是"资源...
AJAX实现:Java后端处理与JSON中文编码
在Java中实现Ajax请求通常涉及到前端使用jQuery库配合后端Spring框架来处理JSON数据的传输。当JavaScript代码通过Ajax发起请求时,浏览器出于安全考虑会默认禁止此类操作,但通过一些技术手段可以解决这个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值